Campaña de Dorkbot a través de postales de amor falsas #postalesfalsas #dorkbot #alertaseguridad

Fernando Catoira, analista de seguridad, ha publicado en el Blog de Laboratorio de ESET, una nueva alerta de seguridad. Han recibido un correo falso con una supuesta tarjeta romántica de un afamado sitio de postales digitales. Dentro de esta postal falsa, se adjunta un enlace para su supuesta descarga que dirige a la víctima a un sitio web vulnerado donde se aloja el código malicioso.

El malware que se propaga a través de este medio es detectado por ESET NOD32 Antivirus como Win32/Dorkbot.B gusano. El código malicioso se descarga bajo el nombre de“Postal_Intercativa.mov.exe” intentando convencer a la víctima de que, justamente, se trata de una postal animada. A continuación puede visualizarse una captura del correo recibido:

En este caso, el ciberdelincuente utilizó dos sitios vulnerados diferentes para propagar la amenaza. Específicamente, el correo dirige a la víctima al primer sitio vulnerado. En esta instancia, ejecuta un archivo php que realiza una redirección hacia el segundo sitio vulnerado desde donde se descarga el ejecutable malicioso. A continuación se adjunta un diagrama de la secuencia de funcionamiento:

Asimismo, existe un archivo que cuenta la cantidad de descargas del código malicioso. Hasta la fecha corriente, la cantidad de clics indicaba cerca de 3.000 descargas:

Si quieren acceder al análisis de la muestra completo, pueden seguir el siguiente enlace: http://blogs.eset-la.com/laboratorio/2012/11/23/campana-dorkbot-postales-falsas/

Fuente: Blog de Laboratorio de ESET – enlace

 

Anuncios

Acerca de Inés Tornabene
Inés Tornabene www.inestornabene.com

One Response to Campaña de Dorkbot a través de postales de amor falsas #postalesfalsas #dorkbot #alertaseguridad

  1. PostalAmor says:

    Yo no me fio de los correos raros… Tambien hay que tener un buen antivirus.. Me encantan que me manden postales de amor..
    Saludos
    Aurora

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: